Informatiebeveiligingsbewustzijn

Informatiebeveiliging speelt tegenwoordig een steeds grotere rol binnen organisaties. Ook opdrachtgevers stellen steeds strengere eisen. Zeker binnen de gezondheidszorg is het een actueel aandachtspunt. ISO 27001 is een internationale norm voor informatie beveiliging, uitgegeven door de International Standardization Organisation, die een kader biedt om informatiebeveiliging te managen. In Nederland is de NEN 7510 de vertaling van de ISO 27001 norm binnen de gezondheidzorg.

Steunpunt NEN 7510 zegt hierover: “Bij verantwoorde zorg hoort ook hoe de zorginstelling en de hulpverlener de informatie verwerken, die noodzakelijk is voor goede patiëntenzorg. Informatieverwerking- en beveiliging is dan ook onderdeel van verantwoorde zorg en valt daarmee onder het toezichtsterrein van de Inspectie voor de Gezondheidszorg (IGZ). IGZ heeft aangegeven NEN 7510 ter hand te nemen bij het toetsen van de vraag of zorginstellingen de juiste maatregelen treffen voor invoering en handhaving van adequate informatiebeveiliging.” Voor meer informatie: www.nen7510.org

ISO 27001 en NEN 7510 zijn gebaseerd op 3 onderdelen binnen informatiebeveiliging:

  • Vertrouwelijkheid: informatie is alleen toegankelijk voor diegene, die hiertoe geautoriseerd zijn.
  • Integriteit: de mate waarin de informatie actueel, correct en volledig is.
  • Beschikbaarheid: aanverwante bedrijfsmiddelen zijn op de juiste momenten beschikbaar.

Vertaling naar de ZBR

Binnen de ZBR wordt al jaren aandacht besteed aan informatiebeveiligingsbewustzijn. Criteria als “Er zijn schriftelijke afspraken over de wijze waarop vertrouwelijke (medische) gegevens worden opgeslagen en gearchiveerd.”, “Er zijn schriftelijke afspraken over wie toegang heeft tot vertrouwelijke (medische) gegevens“ en “Er zijn schriftelijke afspraken over de wijze waarop vertrouwelijke (medische) gegevens worden vernietigd.” worden reeds meegenomen in de vragenlijst. Door de ontwikkelingen binnen de gezondheidszorg en de toenemende aandacht voor informatiebeveiliging zijn de volgende aanvullende criteria opgenomen in de ZBR:

  • De organisatie heeft de bedrijfsmiddelen (inclusief medewerkers) in kaart gebracht die invloed hebben op informatiebeveiliging.
  • De organisatie heeft een risicoanalyse uitgevoerd op het gebied van informatiebeveiligingsrisico’s.
  • De organisatie heeft voldoende adequate maatregelen getroffen om de belangrijkste informatiebeveiligingsrisico’s te beperken.
  • De organisatie heeft een informatiebeveiligingsbeleid (huisregels) opgesteld om de voorgenomen maatregelen te borgen.
  • De organisatie heeft een autorisatiematrix opgesteld waarin opgenomen is welke medewerkers toegang hebben tot (digitale) gegevens.
  • De organisatie heeft schriftelijke afspraken opgesteld over de wijze waarop vertrouwelijke gegevens beveiligd worden opgeslagen, gearchiveerd en vernietigd. Hierbij wordt voldaan aan de eisen vanuit de Wbp.
  • De organisatie heeft geborgd dat alle medewerkers op de hoogte zijn van het informatiebeveiligingsbeleid (de afspraken) en toetst regelmatig op de compliance hiervan in de praktijk.
  • Er is minimaal sprake van een jaarlijkse aantoonbare evaluatie van de risico’s en de effectiviteit van de getroffen maatregelen.

De invulling van bovenstaande criteria kan per organisatie heel verschillend zijn. Elke organisatie is anders. Een praktisch stappenplan voor het verhogen van informatiebewustzijn gebaseerd op uw situatie vindt u hier. Klik hier voor meer informatie over informatiebeveiliging en hoe u zich kunt voorbereiden op de ZBR update Informatiebeveiliging.